ImageVerifierCode 换一换
格式:DOCX , 页数:20 ,大小:18.61KB ,
资源ID:1323207      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/1323207.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(软件安全开发服务资质认证自表12.docx)为本站会员(b****1)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

软件安全开发服务资质认证自表12.docx

1、软件安全开发服务资质认证自表12软件安全开发服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1. 服务技术要求建立软件安全开发服务流程。软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。2. 制定软件安全开发服务规范并按照规范实施。软件安全开发服务规范并按照规范实施。3. 准备阶段建立软件项目安全开发团队,明确各岗位、人员、职责。项目人员构成表或其他能体现项目组成员构成的文档,其中明确项目组成员构成情况以及安全开发人员的角色及职责。4. 制定软件项目安全开发管理计划,明确开发过程管控措施。项目开发计划,计划中

2、应包含安全开发的内容。5. 建立软件开发的配置管理计划,明确配置管理的安全要求。项目配置管理计划,包含安全相关活动。提供配置管理相关记录。6. 建立变更控制制度,明确软件项目变更控制的安全要求。变更控制管理制度,提供项目变更控制记录,变更的记录单,记录单中的内容应包含变更申请,审批,执行,执行后的评价结果。7. 制定软件项目安全培训计划,对相关人员进行安全培训。培训管理制度,项目培训计划和培训记录。8. 建立独立的开发环境,确保开发环境与运行环境隔离。开发环境与运行环境配置的说明文档。9. 仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。风险管理制度、风险管理计划、

3、风险分析报告。10. 仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。配置管理计划,其中描述采用的配置管理工具;配置管理工具的使用情况介绍。11. 仅二级/一级要求:配备专职的测试人员。项目人员构成表或其他能体现项目组成员构成的文档,设立专职的测试人员,并明确描述其职责。12. 仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。开发环境与测试环境配置的说明文档。13. 仅一级要求:建立软硬件设备和工具等资源安全使用规范。软硬件设备及工具安全使用规范;软硬件设备及工具资源配备计划。14. 仅一级要求:配备安全管理人员。安全管理专职人员的任命文件,项目相关的安全监控记录。

4、15. 仅一级要求:建立变更控制委员会。变更控制委员会成员构成与职责规定文件。16. 需求阶段调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。需求阶段控制程序文件;需求阶段项目文档,包括可行性报告、招标文件、需求分析报告等,需求文档的内容应涉及软件功能、性能及安全性要求。17. 结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。与客户沟通的记录。18. 仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。需求分析报告,内容应覆盖条款的要求。19. 仅二级/一级要求:对于数据采集、产生、使用,

5、明确识别安全保护要求。20. 仅二级/一级要求:基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。21. 仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。22. 仅一级要求:应基于软件安全威胁开展需求分析。23. 仅一级要求:基于软件项目需求分析建立软件安全开发模型。24. 设计阶段根据软件项目需求,编制软件设计说明书。设计阶段控制程序文件;提供软件设计说明书,内容应覆盖条款的要求。25. 软件设计说明书明确系统/子系统的功能和非功能设计要求。26. 软件设计说明书明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。27. 设计阶段-概要设计

6、仅二级/一级要求:概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。设计阶段控制程序文件;提供概要设计说明书,内容应覆盖条款的要求。28. 仅一级要求:概要设计说明书中应明确基于软件安全威胁分析的安全要求。29. 仅一级要求:当开发场景适用时,概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。30. 设计阶段-详细设计仅二级/一级要求:详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。详细设计说明书,内容应覆盖条款的要求。31. 仅一级要求:依据安全要求和概要设计说明书,明确基于软件安全威胁分析进行详细设

7、计。32. 编码阶段制定统一的代码安全编码规范,确保开发人员参照规范安全编码。软件开发所使用语言的安全编码规范,规范内容包括但不限于代码安全编写的原则、方式、方法等。33. 依据详细设计说明书,对软件进行安全编码。在编码过程中,对规避高危风险的漏洞采取的方法或措施的文档或记录。34. 软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。代码安全检查、评审记录,对发现的漏洞,提供漏洞修复与验证记录。35. 仅二级/一级要求:软件代码的安全检查、评审工作应形成记录。代码检查、审核相关记录。36. 仅一级要求:采用自动化工具对代码安全漏洞进行审查,对于发现的漏洞能有效修复,并形成审查报告。代码检

8、查工具的检查结果记录/报告。37. 测试阶段依据软件设计说明书对软件功能、安全功能进行测试。测试方案、测试计划,提供软件功能测试、安全性测试记录与报告。38. 对测试发现的漏洞进行分析并有效修复。漏洞发现、分析与修复的记录。39. 测试阶段-单元测试仅二级/一级要求:明确单元测试策略,制定单元测试计划。单元测试的测试策略、测试计划。40. 仅二级/一级要求:依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。单元测试用例设计、测试记录。41. 仅一级要求:对单元测试结果进行分析,形成分析报告。单元测试分析报告。42. 测试阶段-集成测试仅二级/一级要求:明确集成测试策略

9、,制定集成测试计划。集成测试的测试策略、测试计划。43. 仅二级/一级要求:依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。集成测试用例设计、测试记录。44. 仅一级要求:对集成测试结果进行分析,形成分析报告。集成测试分析报告。45. 测试阶段-系统测试仅二级/一级要求:制定包括系统安全性测试在内的测试计划,并执行系统测试,形成测试记录。安全性测试计划和测试用例设计文档、测试记录。46. 47. 仅二级/一级要求:基于软件安全功能的安全要求,制定脆弱性测试方案,对安全漏洞进行测试,形成测试记录。脆弱性测试方案、测试记录。49. 仅二级/一级要求:对系统测试结果进行分析

10、,形成分析报告。测试分析报告,其中包括软件安全测试的结果分析。50. 仅一级要求:基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试,并形成分析报告。渗透性测试方案、渗透测试记录和渗透测试报告。51. 验收阶段-系统试运行测试系统运行的可靠性、稳定性和安全性,进行试运行,并记录系统运行状况,试运行周期至少一个月。系统试运行相关记录。52. 基于系统试运行相关记录,及时对软件进行调整、维护。系统调整、维护记录。53. 仅二级/一级要求:试运行结束后,制定系统试运行报告,并提交客户。系统试运行报告。54. 仅一级要求:提供三个月以上的试运行记录和报告。系统试运行记录

11、和报告。55. 仅一级要求:综合软件系统试运行状态,建立软件系统运行策略和安全指南。系统运行策略、安全指南。56. 验收阶段-验收交付根据合同约定,向客户提交完整的项目资料及交付物,并提出验收申请。验收申请、验收资料、验收报告。57. 根据合同约定,进行项目验收,形成项目验收报告。58. 仅二级/一级要求:提交软件安全测评报告。软件安全测评报告。59. 仅一级要求:提交软件产品第三方安全测评报告或安全认证证书。专家/第三方权威机构出具的软件产品安全测评报告或安全认证证书。60. 维保阶段对于影响软件系统安全、稳定运行的缺陷,及时有效采取打补丁、版本升级等方式予以消除,并提供远程技术支持服务。巡

12、查记录、故障记录、升级记录等。61. 仅二级/一级要求:制定系统运行计划、安全事件响应计划、安全事件应急预案,建立应急响应服务保障团队。系统运行计划、安全事件响应计划、安全事件应急预案;应急保障团队人员组织构成和职责规定文件;应急事件记录。62. 仅二级/一级要求:及时应对突发安全事件,并向用户提供安全事件解决报告。63. 仅一级要求:制定软件健康检查计划、方案,定期实施,提交相应的系统健康检查报告、巡检报告。健康检查计划、方案、系统健康检查报告、巡检报告、系统优化改进记录。64. 仅一级要求:根据健康检查报告进行分析,持续优化系统。65. 上一年度提出的观察项整改情况(如有)66. 67. 68. 上一年度提出的不符合项整改情况(如有)69. 70. 自评估结论:经自主评估,本单位的软件安全开发服务满足信息安全服务 规范_级要求,申请第三方审核。本单位郑重承诺,信息安全服务资质认证自评估表-公共管理与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1